La cause de l’une des cyberattaques les plus horribles de 2024 vient d’être révélée. Après enquête, il s’avère que les cybercriminels de BlackCat ont pu pénétrer dans le système informatique de Change Healthcare en profitant de la négligence des responsables. Ils n’avaient pas activé un mécanisme de sécurité pourtant indispensable.
Il y a deux mois, les cybercriminels BlackCat ont attaqué UnitedHealth, une compagnie d’assurance américaine spécialisée dans les soins de santé. Les pirates ont rançongiciel déployé sur le système informatique de Change Healthcare, une filiale de UnitedHealth qui fournit des logiciels de paiement aux prestataires de soins de santé.
Le fonctionnement des prestataires de soins de santé américains a été considérablement affecté par la cyberattaque. Pendant des semaines, ils ont rencontré des difficultés dans leurs opérations, obligeant Change Healthcare à fournir un logiciel supplémentaire de préparation des demandes de remboursement en attendant de restaurer ses systèmes. Malgré les efforts de l’entreprise, les hôpitaux, pharmacies et les cabinets médicaux ont rencontré d’importants retards dans le paiement des réclamations d’assurance. C’est ici pire cyberattaque connue par le système de santé des États-Unis, estime l’American Hospital Association. Cela a coûté plus de 870 millions de dollars à UnitedHealth.
A lire aussi : Le rançongiciel Lockbit dévoile une montagne de « données sensibles » sur des patients français
6 To de données sensibles volées
Avant de chiffrer les données, les pirates ont volé les informations confidentielles de nombreux Américains. Selon BlackCat, six téraoctets de données ont été exfiltrés au cours de l’opération. Parmi les données volées figuraient les dossiers médicaux de patients américains. Selon Andrew Witty, PDG de UnitedHealth, les données d’un tiers des Américains ont été volées.
Devant le Sénat américain, le responsable a confirmé que UnitedHealth avait accepté de payer la rançon exigée par les pirates de BlackCat. Le groupe a payé 22 millions de dollars en bitcoins aux criminels, dans l’espoir de protéger les données sensibles des Américains. En vain. Après avoir collecté la rançon, BlackCat a divulgué les données vers les marchés noirs du dark web. Les informations sensibles se sont retrouvées entre les mains d’au moins deux gangs.
A lire aussi : Cette nouvelle cyberattaque montre qu’il ne faut surtout pas recycler ses mots de passe
Une fuite de données à l’origine de la cyberattaque
Surtout, Andrew Witty a révélé l’origine de l’intrusion aux sénateurs américains. Selon l’enquête de UnitedHealth, « Les criminels ont utilisé des informations d’identification compromises pour accéder à distance au portail Citrix Change Healthcare, une application utilisée pour permettre l’accès à distance aux ordinateurs de bureau ». Sans surprise, l’attaque est basée sur fuite d’informations d’identification. C’est le cas de la plupart des attaques informatiques. Comme le révèle une étude de Surfshark, 17 milliards de comptes ont été piratés en l’espace de vingt ans.
De nombreuses entreprises utilisent le logiciel Citrix pour permettre à leurs employés d’accéder à distance à leurs ordinateurs de travail via les réseaux internes. L’entreprise n’a pas précisé comment les pirates russes ont mis la main sur les identifiants donnant accès à Citrix. Contactés par BleepingComputer, les enquêteurs d’Hudson Rock affirment que les identifiants Citrix d’un employé de Change Healthcare ont été volés par un logiciel espion.
« Une fois que les acteurs malveillants ont eu accès, ils se sont déplacés latéralement à l’intérieur des systèmes de manière plus sophistiquée et ont exfiltré les données. Le ransomware a été déployé neuf jours plus tard »explique Andrew Witty au Sénat.
Un mécanisme de sécurité négligé
Malheureusement, le portail n’était pas protégé par un « authentification multifacteur », ajoute le leader du groupe. De facto, il n’était possible d’accéder au système qu’à l’aide d’un mot de passe et d’un nom d’utilisateur. Le portail ne nécessitait pas de code envoyé par SMS, email ou via une application d’authentification dédiée. L’ajout d’un système d’authentification à deux facteurs aurait théoriquement bloqué la route des cybercriminels BlackCat.
En réponse aux révélations d’Andrew Witty, Ron Wyden, sénateur démocrate et président de la commission sénatoriale des finances, a déclaré que la cyberattaque aurait pu être facilement évité en appliquant les préceptes fondamentaux de base de la cybersécurité. Le sénateur ajoute qu’il « Il n’aurait pas fallu attendre la pire cyberattaque jamais survenue dans le secteur de la santé pour finalement accepter de faire ce strict minimum ». Face aux sénateurs, le PDG de UnitedHealth a assuré que l’entreprise allait désormais imposer une authentification à deux facteurs à toutes les parties de l’entreprise.
C’est loin d’être la première fois qu’une cyberattaque est rendue possible par une négligence de cet acabit. En janvier dernier, la Securities and Exchange Commission (SEC), le régulateur de la Bourse des États-Unis, a perdu le contrôle de son compte X (Twitter) suite à une arnaque à la carte SIM. L’attaque aurait été contrecarrée en activant l’authentification à deux facteurs sur le compte. Le régulateur aurait pu demander à la plateforme de demander un code supplémentaire, envoyé par email par exemple, avant d’ouvrir ses portes. Selon une étude de CyberEdge réalisée en 2022, près de la moitié des entreprises n’ont pas activé l’authentification à deux facteurs pour se protéger des piratages.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
Source :
Le bord
